Schlüsselpersonen-Risiko in KMU: Wie Sie strukturell identifizieren, bewerten und reduzieren — bevor der Ernstfall eintritt

Was eine Schlüsselperson eigentlich ist

In der Risikomanagement-Literatur wird der Begriff Key Person meist über Wirkung, nicht über Status definiert: eine Person, deren Ausfall eine signifikante negative Auswirkung auf Erlös, Liquidität, Kundenbeziehung oder Geschäftskontinuität hätte ^[1]. Diese Definition ist bewusst nüchtern — sie macht Schlüsselpersonen sichtbar, ohne sie hierarchisch zu verklären.

Im Mittelstand sind Schlüsselpersonen häufig nicht die Geschäftsführung, sondern stille Wissensträger:

• Der Werkstattmeister, der seit 22 Jahren wesentliche Lieferantenbeziehungen pflegt.
• Die Buchhalterin, die als einzige eine Reihe von Sonderbuchungen historisch sauber durchschauen kann.
• Der Vertriebler, ohne den drei Großkunden vermutlich nicht beim Unternehmen wären.
• Die Service-Technikerin, die als einzige eine bestimmte Maschinengeneration schnell diagnostizieren kann.

Diese Personen sind organisatorisch oft unauffällig — und genau das macht das Risiko schwer fassbar.

Warum das Thema in KMU besonders heikel ist

Mehrere strukturelle Faktoren machen Schlüsselpersonen-Risiken im Mittelstand besonders ausgeprägt:

Demografie. Das Institut für Mittelstandsforschung (IfM) Bonn weist seit Jahren auf die Nachfolgelücke hin: Bis 2027 stehen rund 530.000 mittelständische Unternehmen vor einer Übergabe, in vielen Fällen ohne klaren Nachfolgekandidat ^[2]. Parallel scheidet ein erheblicher Teil der Boomer-Generation aus dem Erwerbsleben aus.

Lange Verweildauern. Während in Konzernen mittlere Verweildauer in einer Rolle bei drei bis fünf Jahren liegt, sind in mittelständischen Spezialfunktionen 15+ Jahre keine Seltenheit. Über diesen Zeitraum entsteht ein Erfahrungswissens-Gefälle, das durch keine Stellenbeschreibung mehr abgebildet wird.

Vertrauensbasierte Strukturen. Mittelstand funktioniert oft über persönliches Vertrauen, nicht über formale Prozesse. Das ist eine Stärke — und gleichzeitig ein Risikomultiplikator.

Geringe Formalisierung. Stellvertretungsregelungen, Eskalationspfade und RACI-Matrizen sind in vielen KMU informell oder fehlen ganz.

Der formale Risikorahmen: COSO ERM und ISO 22301

Zwei Standards bieten den robustesten Rahmen für Schlüsselpersonen-Analysen:

COSO ERM (Enterprise Risk Management). Das 2017 grundlegend überarbeitete Rahmenwerk fordert Risikoidentifikation entlang aller wesentlicher Geschäftsobjekte und -prozesse ^[3]. Schlüsselpersonen-Risiken zählen dabei explizit zu den operational risks mit potentieller strategischer Wirkung.

ISO 22301 (Business Continuity Management). Die internationale Norm verlangt eine Business-Impact-Analyse (BIA), in der kritische Aktivitäten und ihre Abhängigkeiten — auch personeller Art — systematisch erfasst werden ^[4]. Personen-Single-Points-of-Failure gehören explizit zu den zu identifizierenden Abhängigkeiten.

Auch ohne Zertifizierung lohnt sich der Blick in beide Standards: Sie strukturieren ein Thema, das ohne Methodik schnell ins Bauchgefühl rutscht.

Indikatoren: Wie erkennt man Schlüsselpersonen?

In der Praxis bewährte Indikatoren, die in Kombination zuverlässig Schlüsselpersonen sichtbar machen:

1. Urlaubsmuster. Wer nimmt seit Jahren keinen Urlaub von mehr als zehn Tagen? Wer wird im Urlaub regelmäßig kontaktiert?
2. Telefon-/E-Mail-Volumen. Anrufquote in Abwesenheit ist ein robuster Proxy für Wissenskonzentration.
3. Eskalations-Pfade. Bei welchen Problemen ist die erste Anlaufstelle eine bestimmte Person — auch wenn das nicht im Organigramm steht?
4. Customer-Owner-Gefälle. Wer hat Kundenbeziehungen, die ohne diese Person mit hoher Wahrscheinlichkeit erodieren würden?
5. Tribal Knowledge. Welche Sonderprozesse, Workarounds oder historisch gewachsenen Konfigurationen kann nur eine Person durchschauen?
6. Kalenderdichte. Auffällig stark belegte Kalender bei gleichzeitig dünn besetzten Stellvertretungsterminen.
7. Fluktuationsanstiege bei Abwesenheit. Wenn Teams in Abwesenheit einer Person spürbar an Geschwindigkeit verlieren, ist das ein Indikator.

Wichtig: Diese Indikatoren werden organisationsbezogen erhoben, nicht personenbezogen ausgewertet. Es geht um Stellen mit Konzentrationsrisiko — nicht um Einzelbewertungen. Diese Trennung ist nicht nur kulturell relevant, sondern auch datenschutzrechtlich (siehe Beitrag „Wissensmanagement ohne Mitarbeiterüberwachung“).

Bewertungsmatrix

Eine pragmatische, in vielen KMU-Projekten bewährte Matrix bewertet jede Schlüsselperson entlang zweier Achsen:

• Eintrittswahrscheinlichkeit eines Ausfalls in einem definierten Zeitraum (z. B. 24 Monate). Faktoren: Alter, Gesundheit, Wechselbereitschaft, Marktnachfrage nach der Rolle.
• Auswirkungs-Schwere bei Ausfall: Erlös, Kundenrisiko, Compliance-Risiko, Wiederbesetzungs-Aufwand.

Das Ergebnis ist eine Heatmap mit klaren Handlungsklassen:

• Rot (hohe Wahrscheinlichkeit × hohe Auswirkung): sofortige Maßnahmen, definierter Zeitplan.
• Gelb: strukturierte Maßnahmen innerhalb 6–12 Monate.
• Grün: Beobachtung, jährliche Revalidierung.

Warum reine Stellvertretungen nicht reichen

Die in vielen KMU einzige Maßnahme — formale Stellvertretungsregelungen — leidet unter einem chronischen Konstruktionsfehler: Sie definieren Verantwortung, nicht Befähigung. Eine Stellvertretung ohne Wissenstransfer ist eine papierne Lösung.

Ein Test, der das schnell sichtbar macht: „Was würde passieren, wenn die Schlüsselperson morgen für sechs Wochen ausfällt — und die Stellvertretung ohne Vorwarnung übernehmen müsste?“ Wenn die ehrliche Antwort „Wir würden den Kunden Müller verlieren, drei Sonderprozesse würden stocken, und die Buchhaltung käme nicht durch den Monatsabschluss“ lautet, ist die Stellvertretung formal, nicht substanziell.

Wirksame Maßnahmen — vier Schichten

Forschungsbasierte und praxiserprobte Hebel zur Reduktion von Schlüsselpersonen-Risiken:

Schicht 1: Wissens-Inventur

Bevor irgendetwas reduziert werden kann, muss es sichtbar sein. Eine strukturierte Inventur des kritischen Erfahrungswissens pro Rolle ist der notwendige erste Schritt. Methodisch eignen sich Knowledge-Audit-Interviews und Critical-Decision-Method-Befragungen ^[5].

Schicht 2: Rollen-Redundanz

Wo möglich, sollten kritische Rollen mit doppelter Tiefenkompetenz besetzt sein. „Wo möglich“ ist keine Floskel — in einem Achtköpfigen Team ist nicht jede Rolle doppelt besetzbar. Aber jede Rolle, die rot in der Heatmap ist, gehört auf den Prüfstand.

Schicht 3: Kontinuierliche Übergabe

Statt Wissenstransfer als Krisenphänomen (Kündigung, Krankheit) zu behandeln, sollte er Routine sein. Halbjährliche, strukturierte Wissensreviews je Rolle reduzieren das Risiko erheblich — und sind operativ kaum spürbar.

Schicht 4: Kulturelle Offenheit

Die schwierigste, aber wirkungsvollste Schicht: eine Kultur, in der Schlüsselpersonen ihre Sonderrolle nicht verteidigen müssen. Mitarbeitende, die fürchten, durch Wissensteilung „ersetzbar“ zu werden, blockieren jede Maßnahme. Eine offene, wertschätzende Kommunikation des Vorteils — Entlastung im Urlaub, geringerer Stress, klarere Übergaben — ist die wichtigste Voraussetzung für Erfolg.

Sonderfall: Eigentümer als Schlüsselperson

Im familiengeführten Mittelstand ist häufig der Inhaber selbst die zentrale Schlüsselperson. Das Risiko wird hier oft unterschätzt, weil das Thema an die persönliche Lebensplanung rührt. Das IfM Bonn weist seit Jahren auf die strukturelle Nachfolgelücke hin ^[2]. Konkret bewährt: ein dokumentierter, mehrjähriger Übergangsplan, der externe Berater einbindet (Steuerberater, Notar, Branchen-Experten) und der unabhängig vom späteren Übergangs-Zeitpunkt funktioniert.

Risiko-Versicherung als Ergänzung — nicht als Ersatz

Schlüsselpersonen-Versicherungen (Keyman Insurance) decken finanzielle Auswirkungen eines Ausfalls — sie sind ein sinnvolles Instrument im Werkzeugkasten, ersetzen aber keine operative Vorsorge. Eine Versicherung kompensiert keinen verlorenen Schlüsselkunden und liefert kein Erfahrungswissen.

Kennzahlen für laufendes Monitoring

Drei Kennzahlen, die ein KMU regelmäßig (quartalsweise) erheben sollte:

1. Anteil roter Rollen. Wie viele Rollen liegen in der hochrisiko-Kategorie?
2. Bus-Faktor je kritischer Rolle. (Siehe ausführlicher Beitrag „Bus-Faktor erklärt“.)
3. Wissens-Refresh-Quote. Welcher Anteil der dokumentierten Wissensbausteine wurde in den letzten 12 Monaten aktiv revalidiert?

Diese Kennzahlen lassen sich auf einer einzigen Folie für die Geschäftsleitung darstellen — und schaffen ein Frühwarnsystem, das ohne Detailtiefe Rauschen, aber mit klarer Trendrichtung funktioniert.

Fazit

Schlüsselpersonen-Risiken sind in KMU strukturell unvermeidlich — aber sie sind weder unsichtbar noch unbeeinflussbar. Wer sie im Rahmen eines seriösen Risikomanagements identifiziert, bewertet und mehrschichtig reduziert, schützt nicht nur das Unternehmen, sondern auch genau jene Personen, die unter dem unausgesprochenen Druck der Unersetzlichkeit leiden. BusFactor unterstützt diese Arbeit durch strukturierte Wissensaufnahme, rollenbasierte Sichtbarkeit und kontinuierliche Revalidierung — ohne Mitarbeiterüberwachung und ohne Misstrauen.